CN106126417A - 交互式应用程序安全测试方法及其系统 - Google Patents
交互式应用程序安全测试方法及其系统 Download PDFInfo
- Publication number
- CN106126417A CN106126417A CN201610442425.7A CN201610442425A CN106126417A CN 106126417 A CN106126417 A CN 106126417A CN 201610442425 A CN201610442425 A CN 201610442425A CN 106126417 A CN106126417 A CN 106126417A
- Authority
- CN
- China
- Prior art keywords
- service device
- probe
- testing service
- device end
- interactive application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种交互式应用程序安全测试方法,包括:安装测试服务器端及部署目标被测程序;将探针部署于测试服务器端;运行目标测试程序并通过探针收集分析数据;探针将分析数据发送至测试服务端,测试服务器端对分析数据进行分析以得到漏洞结果。与现有技术相比,本发明的测试方法不需要专人操作,运行目标被测程序的过程中同时完成了功能测试及漏洞等安全性测试,减少了安全测试的人力投入。同时,该方法中通过探针实时获取目标被测程序运行时的真实数据,从而可以实现比传统静态源代码分析工具更高的测试精确度,还可降低漏报率。本发明同时公开了一种交互式应用程序安全测试的系统。
Description
技术领域
本发明涉及软件安全测试技术领域,更具体地涉及一种交互式应用程序安全测试方法及其系统。
背景技术
在软件的开发过程中,软件安全测试是一种检验软件中已存在的软件安全措施是否有效的测试,是保证系统安全性的重要手段,其一般包括安全功能测试和安全漏洞测试两个方面。
目前,针对安全漏洞测试方面,被广泛应用的是基于静态源代码安全分析技术的分析工具。其中,静态源代码安全分析技术的原理如下:首先创建一个庞大的数据DOM树,然后在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描。现有采用类似技术的静态源代码安全扫描工具有:IBM AppScan for source、HP Fortify与Checkmarx CxSuite,上述扫描工具目前在国际上都具有很高的漏洞覆盖率及漏洞查找能力。然而,基于静态源代码安全分析的上述扫描工具在进行安全漏洞测试时,具有以下缺点:(1)需要专人去操作,扫描非常耗时;(2)精确度不高。
因此,有必要提供一种改进的交互式应用程序安全测试方法及其系统来克服上述缺陷。
发明内容
本发明的目的是提供一种交互式应用程序安全测试方法及其系统,以在实现功能测试的同时完成漏洞等安全性测试,无需专人操作且可减少安全测试的人力投入,同时测试精确度较高。
为实现上述目的,本发明提供了一种交互式应用程序安全测试方法,包括:
安装测试服务器端及部署目标被测程序;
将探针部署于测试服务器端;
运行目标测试程序并通过探针收集分析数据;
探针将分析数据发送至测试服务端,测试服务器端对分析数据进行分析以得到漏洞结果。
与现有技术相比,本发明的测试方法先安装测试服务器端及部署目标被测程序,再将探针部署于测试服务器端上,之后运行目标被测程序,同时通过探针收集分析数据,接着探针将分析数据发送至测试服务器端,最后该测试服务器端对上述分析数据进行分析处理以得到漏洞结果,实现了安全测试中的漏洞测试。该测试方法不需要专人操作,运行目标被测程序的过程中同时完成了功能测试及漏洞等安全性测试,减少了安全测试的人力投入。同时,该方法中通过探针实时获取目标被测程序运行时的真实数据,从而可以实现比传统静态源代码分析工具更高的测试精确度,还可降低漏报率。
较佳地,得到漏洞结果之后还包括:
测试服务器端根据漏洞结果生成目标被测程序的安全报告。
具体地,测试服务器端为运行于Tomcat服务器上的一JAVA WEB程序,目标被测程序为部署于Tomcat服务器上的一JAVA站点,探针为基于Java虚拟机工具接口的一代理程序。
具体地,将探针部署于测试服务器端具体包括:
在测试服务器端下载探针;
修改Tomcat服务器的启动脚本及增加javaagent参数以使Tomcat服务器在运行时加载探针。
具体地,分析数据包括上下文内容、数据流、控制流及目标被测程序运行时传递的值。
可选地,漏洞结果包括SQL注入漏洞及框架与包的漏洞。
相应地,本发明还提供了一种交互式应用程序安全测试系统,包括:
测试服务器端,用于接收分析数据并对分析数据进行分析以得到漏洞结果;以及
探针,部署于测试服务器端,当目标被测程序运行时,探针收集并发送分析数据至测试服务器端。
与现有技术相比,本发明的测试系统在运行目标被测程序时,探针会收集分析数据并将分析数据传送至测试服务器端,测试服务器端会对分析数据进行分析处理以得到漏洞结果。该测试系统不需要专人操作,运行目标被测程序的过程中同时完成了功能测试及漏洞等安全性测试,减少了安全测试的人力投入。同时,该系统通过探针实时获取目标被测程序运行时的真实数据,从而可以实现比传统静态源代码分析工具更高的测试精确度,还可降低漏报率。
具体地,探针部署于测试服务器端具体包括:
在测试服务器端下载探针;
修改Tomcat服务器的启动脚本及增加javaagent参数以使Tomcat服务器在运行时加载探针。
具体地,分析数据包括上下文内容、数据流、控制流及所述目标被测程序运行时传递的值。
可选地,所述漏洞结果包括SQL注入漏洞及框架与包的漏洞。
通过以下的描述并结合附图,本发明将变得更加清晰,这些附图用于解释本发明的实施例。
附图说明
图1为本发明交互式应用程序安全测试系统的结构框图。
图2为本发明交互式应用程序安全测试方法的主流程图。
图3为本发明交互式应用程序安全测试方法第一实施例的流程图。
图4为本发明交互式应用程序安全测试方法第二实施例的流程图。
图5为本发明交互式应用程序安全测试方法第三实施例的流程图。
具体实施方式
现在参考附图描述本发明的实施例,附图中类似的元件标号代表类似的元件。
为了更好地理解本发明,先对其工作原理做如下说明:
面向方面的编程技术使得安全测试平台可以在程序运行时嵌入安全分析。面向对象语言提供了接口以实现面向方面的编程。例如,JVMTI(Java Virtual Machine ToolInterface)是一套由Java虚拟机提供的,为JVM相关的工具提供的本地编程接口集合。利用JVMTI,开发者可以构建一个独立于应用程序的代理程序(Agent),用来监测和协助运行在JVM上的程序,甚至能够替换和修改某些类的定义。有了这样的功能,开发者就可以实现更为灵活的运行时虚拟机监控和Java类操作。基于此,本发明采用了深度插桩的交互式应用程序安全测试技术,采用Agent的方式获取分析数据,然后基于这些数据分析安全漏洞。且采用该种Agent方式,在程序运行时,能够持续地监视与查找漏洞。
具体地,基于上述工作原理,本发明提供了一种交互式应用程序安全测试系统。如图1所示,该系统包括:
测试服务器端100,用于接收分析数据并对分析数据进行分析以得到漏洞结果;以及
探针200,部署于测试服务器端100,当目标被测程序运行时,探针收集并发送分析数据至测试服务器端100。
需要说明的是,测试服务器端(Server)100作为安全测试平台的主程序,其主要具有如下功能:
(1)向开发人员、测试人员或安全运维人员提供可视化的界面,显示实时的安全信息;
(2)获取来自Agent传输过来的数据,并进行智能化漏洞分析及显示;
(3)采用保护规则阻止所有的攻击,诸如SQL注入、XSS,防止0day溢出;
(4)提供漏洞的解决方案;
(5)对共享库和第三方组件进行安全性检查;
(6)导出漏洞列表报表。
而探针200(Agent)作为应用程序的代理组件,其主要具有如下功能:
(1)代理所有用户浏览器到应用程序之间的流量,并传输到Server;
(2)获取服务器后端源代码,并传输到Server;
(3)获取来自Server端发送的指令,并进行执行。
相应地,本发明还提供了一种交互式应用程序安全测试方法,如图2所示,其主要包括:
S201,安装测试服务器端及部署目标被测程序;需要说明的是,测试服务器端为运行于Tomcat服务器上的一JAVA WEB程序,目标被测程序为部署于Tomcat服务器上的一JAVA站点;
S202,将探针部署于测试服务器端;需要说明的是,探针为基于Java虚拟机工具接口的一代理程序;
S203,运行目标测试程序并通过探针收集分析数据;具体地,分析数据包括上下文内容、数据流、控制流及目标被测程序运行时传递的值;
S204,探针将分析数据发送至测试服务端,测试服务器端对分析数据进行分析以得到漏洞结果;
S205,测试服务器端根据漏洞结果生成目标被测程序的安全报告。
上述方法中所得到的漏洞结果包括SQL注入漏洞及框架与包的漏洞,下面分别以两者为例,对测试方法做具体描述。
具体地,请参考图3,在查找SQL注入漏洞时,该测试方法包括:
S301,安装测试服务器端及部署目标被测程序;
S302,在测试服务器端下载探针,修改Tomcat服务器的启动脚本及增加javaagent参数,以使得Tomcat服务器在运行时能够加载探针;
S303,在Tomcat服务器上运行JAVA站点(即目标被测程序);
S304,在浏览器打开正在运行的JAVA站点,登录并进入留言功能;
S305,探针探测到数据的传递并进行收集,以及通过语义分析上下文的代码,从而确定该路径存在SQL注入漏洞;
S306,探针将所收集的数据发送至测试服务器端;
S307,测试服务器端对数据进行分析得到SQL注入漏洞的结果,并会根据对多个目标被测程序的分析结果生成安全报告;其中,该安全报告包括企业整体的安全状态及各个项目独自的安全状态,当然安全报告所涉及的具体范围以目标被测程序所对应的测试对象有关。此外,在生成安全报告后,通过浏览器登录上述测试服务器端便可以查看到该被测站点发现了一个SQL注入漏洞。
再请参考图4,在查找框架与包的漏洞时,该测试方法包括:
S401,安装测试服务器端及部署目标被测程序;
S402,在测试服务器端下载探针,修改Tomcat服务器的启动脚本及增加javaagent参数,以使得Tomcat服务器在运行时能够加载探针;
S403,在Tomcat服务器上运行JAVA站点(即目标被测程序);
S404,在浏览器打开正在运行的JAVA站点,登录并执行若干功能的功能测试;
S405,探针探测到数据的传递并进行收集,以及跟踪数据传递的过程;
S406,探针将所收集的数据发送至测试服务器端;
S407,测试服务器端对数据进行分析得到框架与包的漏洞,并生成安全报告。具体地,测试服务器端根据探针所传递的数据发现该程序所使用的第三方包和框架的信息。把这些框架与包的版本与CVE的漏洞库进行对比,报出存在被利用缺陷的包或框架,即得到框架与包的漏洞。需要说明的是,通过该方法还可以统计整个企业或组织使用了某一个存在问题的框架或包的程序。
此外,本发明的测试方法还可以进行多应用程序同时处理。具体地,请参考图5,其主要流程包括:
S501,安装测试服务器端及部署目标被测程序;需要说明的是,测试服务器端为运行于Tomcat服务器上的一JAVA WEB程序,因此,安装测试服务器端是在Tomcat服务器上运行一个JAVA WEB程序;而目标被测程序为部署于Tomcat服务器上的一JAVA站点,因此,在本实施例中,部署目标被测服务器是在另一台测试服务器上部署多个(如30个)基于Tomcat的JAVA站点;
S502,在测试服务器端下载探针,修改Tomcat服务器的启动脚本及增加javaagent参数,以使得Tomcat服务器在运行时能够加载探针;
S503,在Tomcat服务器上运行JAVA站点(即目标被测程序);
S504,在浏览器打开正在运行的JAVA站点(即多个测试人员同时在客户端访问部署于测试服务器上的站点),登录并执行若干功能的功能测试;
S505,探针探测到数据的传递并进行收集,以及跟踪数据传递的过程;
S506,探针将所收集的数据发送至测试服务器端;
S507,测试服务器端对数据进行分析并得到分析结果,之后,用户登录上述测试服务器端,便可以查看到30个站点的实时安全漏洞查找情况。
从以上描述可以看出,本发明的交互式应用程序安全测试方法及其系统具有以下优点:
(1)安全测试不依赖于专人操作;
(2)有别于传统的白盒安全扫描工具,本发明可以获取程序在运行时真实的数据传递情况,可以分析框架及包的代码,从而可以实现比传统静态源代码分析工具更高的测试精确度,还可降低漏报率;
(3)传统的白盒或黑盒测试工具很难对成百上千的项目同时进行实时监控,因为这会涉及到很大的工作量,而本发明可通过将探针部署于不同的多个服务器上,从而实现对多个项目的同时监控,且简单、易于实现;
(4)本发明中对于每一个新开发的功能,功能测试人员一定会去测试每一条路径,因此功能测试的测试路径非常详尽;而由于在测试服务器上已安装了探针实时监控,因此每次功能测试人员在做功能测试的时候也同时完成了安全测试;
(5)由于每个项目的安全漏洞测试结果不需要扫描等待,也不需要耗费太多硬件资源,因此本发明具备对多应用同时监控的能力。
以上结合最佳实施例对本发明进行了描述,但本发明并不局限于以上揭示的实施例,而应当涵盖各种根据本发明的本质进行的修改、等效组合。
Claims (10)
1.一种交互式应用程序安全测试方法,其特征在于,包括:
安装测试服务器端及部署目标被测程序;
将探针部署于所述测试服务器端;
运行所述目标测试程序并通过所述探针收集分析数据;
所述探针将所述分析数据发送至所述测试服务端,所述测试服务器端对所述分析数据进行分析以得到漏洞结果。
2.如权利要求1所述的交互式应用程序安全测试方法,其特征在于,得到漏洞结果之后还包括:
所述测试服务器端根据所述漏洞结果生成所述目标被测程序的安全报告。
3.如权利要求2所述的交互式应用程序安全测试方法,其特征在于,所述测试服务器端为运行于Tomcat服务器上的一JAVA WEB程序,所述目标被测程序为部署于所述Tomcat服务器上的一JAVA站点,所述探针为基于Java虚拟机工具接口的一代理程序。
4.如权利要求3所述的交互式应用程序安全测试方法,其特征在于,将探针部署于所述测试服务器端具体包括:
在所述测试服务器端下载所述探针;
修改所述Tomcat服务器的启动脚本及增加javaagent参数以使所述Tomcat服务器在运行时加载所述探针。
5.如权利要求1所述的交互式应用程序安全测试方法,其特征在于,所述分析数据包括上下文内容、数据流、控制流及所述目标被测程序运行时传递的值。
6.如权利要求5所述的交互式应用程序安全测试方法,其特征在于,所述漏洞结果包括SQL注入漏洞及框架与包的漏洞。
7.一种交互式应用程序安全测试系统,其特征在于,包括:
测试服务器端,用于接收分析数据并对所述分析数据进行分析以得到漏洞结果;以及
探针,部署于所述测试服务器端,当目标被测程序运行时,所述探针收集并发送所述分析数据至所述测试服务器端。
8.如权利要求7所述的交互式应用程序安全测试系统,其特征在于,所述探针部署于所述测试服务器端具体包括:
在所述测试服务器端下载所述探针;
修改Tomcat服务器的启动脚本及增加javaagent参数以使所述Tomcat服务器在运行时加载所述探针。
9.如权利要求8所述的交互式应用程序安全测试系统,其特征在于,所述分析数据包括上下文内容、数据流、控制流及所述目标被测程序运行时传递的值。
10.如权利要求9所述的交互式应用程序安全测试系统,其特征在于,所述漏洞结果包括SQL注入漏洞及框架与包的漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610442425.7A CN106126417A (zh) | 2016-06-17 | 2016-06-17 | 交互式应用程序安全测试方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610442425.7A CN106126417A (zh) | 2016-06-17 | 2016-06-17 | 交互式应用程序安全测试方法及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106126417A true CN106126417A (zh) | 2016-11-16 |
Family
ID=57470350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610442425.7A Pending CN106126417A (zh) | 2016-06-17 | 2016-06-17 | 交互式应用程序安全测试方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106126417A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603572A (zh) * | 2017-01-16 | 2017-04-26 | 深圳市九州安域科技有限公司 | 一种基于探针的漏洞检测方法及其装置 |
| CN107294808A (zh) * | 2017-07-05 | 2017-10-24 | 网易(杭州)网络有限公司 | 接口测试的方法、装置和系统 |
| CN108446236A (zh) * | 2018-03-27 | 2018-08-24 | 北京邦邦共赢网络科技有限公司 | 一种Java虚拟机的测试方法和装置 |
| CN108600035A (zh) * | 2018-07-21 | 2018-09-28 | 杭州安恒信息技术股份有限公司 | 一种非侵入式web应用监控与日志查询方法 |
| CN108810018A (zh) * | 2018-07-12 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 一种移动应用检测云平台 |
| CN109408346A (zh) * | 2018-09-26 | 2019-03-01 | 北京城市网邻信息技术有限公司 | 数据收集方法、装置、设备及存储介质 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110598418A (zh) * | 2019-09-10 | 2019-12-20 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测垂直越权的方法及系统 |
| CN110688659A (zh) * | 2019-09-10 | 2020-01-14 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及系统 |
| CN110955594A (zh) * | 2019-10-29 | 2020-04-03 | 深圳开源互联网安全技术有限公司 | 基于IAST检测Web应用请求覆盖度的方法及系统 |
| CN111046396A (zh) * | 2020-03-13 | 2020-04-21 | 深圳开源互联网安全技术有限公司 | web应用测试数据流跟踪方法及系统 |
| CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及系统、设备及存储介质 |
| CN112416768A (zh) * | 2020-11-20 | 2021-02-26 | 深圳开源互联网安全技术有限公司 | 交互式安全弱点检测方法、系统、装置及可读存储介质 |
| CN112565221A (zh) * | 2020-11-26 | 2021-03-26 | 国网电子商务有限公司 | 漏洞检测方法、装置、系统及平台 |
| CN114826979A (zh) * | 2022-04-07 | 2022-07-29 | 中国联合网络通信集团有限公司 | 网络链路质量获取方法、装置、系统、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012166113A1 (en) * | 2011-05-31 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Automated security testing |
| CN103699480A (zh) * | 2013-11-29 | 2014-04-02 | 杭州安恒信息技术有限公司 | 一种基于java的web动态安全漏洞检测方法 |
| CN104598378A (zh) * | 2014-12-31 | 2015-05-06 | 天津橙子科技有限公司 | 一种web工程自动化测试探针 |
| US20150161381A1 (en) * | 2013-12-05 | 2015-06-11 | Mcafee, Inc. | Detecting java sandbox escaping attacks based on java bytecode instrumentation and java method hooking |
| CN104765687A (zh) * | 2015-04-10 | 2015-07-08 | 江西师范大学 | 基于对象跟踪和污点分析的j2ee程序漏洞检测方法 |
| WO2015195125A1 (en) * | 2014-06-19 | 2015-12-23 | Hewlett-Packard Development Company, L.P. | Install runtime agent for security test |
-
2016
- 2016-06-17 CN CN201610442425.7A patent/CN106126417A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012166113A1 (en) * | 2011-05-31 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Automated security testing |
| CN103699480A (zh) * | 2013-11-29 | 2014-04-02 | 杭州安恒信息技术有限公司 | 一种基于java的web动态安全漏洞检测方法 |
| US20150161381A1 (en) * | 2013-12-05 | 2015-06-11 | Mcafee, Inc. | Detecting java sandbox escaping attacks based on java bytecode instrumentation and java method hooking |
| WO2015195125A1 (en) * | 2014-06-19 | 2015-12-23 | Hewlett-Packard Development Company, L.P. | Install runtime agent for security test |
| CN104598378A (zh) * | 2014-12-31 | 2015-05-06 | 天津橙子科技有限公司 | 一种web工程自动化测试探针 |
| CN104765687A (zh) * | 2015-04-10 | 2015-07-08 | 江西师范大学 | 基于对象跟踪和污点分析的j2ee程序漏洞检测方法 |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603572A (zh) * | 2017-01-16 | 2017-04-26 | 深圳市九州安域科技有限公司 | 一种基于探针的漏洞检测方法及其装置 |
| CN106603572B (zh) * | 2017-01-16 | 2020-07-14 | 深圳市九州安域科技有限公司 | 一种基于探针的漏洞检测方法及其装置 |
| CN107294808A (zh) * | 2017-07-05 | 2017-10-24 | 网易(杭州)网络有限公司 | 接口测试的方法、装置和系统 |
| CN107294808B (zh) * | 2017-07-05 | 2020-11-24 | 网易(杭州)网络有限公司 | 接口测试的方法、装置和系统 |
| CN108446236A (zh) * | 2018-03-27 | 2018-08-24 | 北京邦邦共赢网络科技有限公司 | 一种Java虚拟机的测试方法和装置 |
| CN108810018A (zh) * | 2018-07-12 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 一种移动应用检测云平台 |
| CN108600035A (zh) * | 2018-07-21 | 2018-09-28 | 杭州安恒信息技术股份有限公司 | 一种非侵入式web应用监控与日志查询方法 |
| CN109408346A (zh) * | 2018-09-26 | 2019-03-01 | 北京城市网邻信息技术有限公司 | 数据收集方法、装置、设备及存储介质 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110266669B (zh) * | 2019-06-06 | 2021-08-17 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110598418A (zh) * | 2019-09-10 | 2019-12-20 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测垂直越权的方法及系统 |
| CN110688659A (zh) * | 2019-09-10 | 2020-01-14 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及系统 |
| CN110955594A (zh) * | 2019-10-29 | 2020-04-03 | 深圳开源互联网安全技术有限公司 | 基于IAST检测Web应用请求覆盖度的方法及系统 |
| CN110955594B (zh) * | 2019-10-29 | 2024-05-03 | 深圳开源互联网安全技术有限公司 | 基于IAST检测Web应用请求覆盖度的方法及系统 |
| CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及系统、设备及存储介质 |
| CN111209213B (zh) * | 2020-02-14 | 2023-08-11 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及系统、设备及存储介质 |
| CN111046396A (zh) * | 2020-03-13 | 2020-04-21 | 深圳开源互联网安全技术有限公司 | web应用测试数据流跟踪方法及系统 |
| CN111046396B (zh) * | 2020-03-13 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | web应用测试数据流跟踪方法及系统 |
| CN112416768A (zh) * | 2020-11-20 | 2021-02-26 | 深圳开源互联网安全技术有限公司 | 交互式安全弱点检测方法、系统、装置及可读存储介质 |
| CN112565221A (zh) * | 2020-11-26 | 2021-03-26 | 国网电子商务有限公司 | 漏洞检测方法、装置、系统及平台 |
| CN112565221B (zh) * | 2020-11-26 | 2022-12-16 | 国网数字科技控股有限公司 | 漏洞检测方法、装置、系统及平台 |
| CN114826979A (zh) * | 2022-04-07 | 2022-07-29 | 中国联合网络通信集团有限公司 | 网络链路质量获取方法、装置、系统、设备及存储介质 |
| CN114826979B (zh) * | 2022-04-07 | 2023-08-15 | 中国联合网络通信集团有限公司 | 网络链路质量获取方法、装置、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106126417A (zh) | 交互式应用程序安全测试方法及其系统 | |
| Chen et al. | An automated approach to estimating code coverage measures via execution logs | |
| Linares-Vásquez et al. | Enabling mutation testing for android apps | |
| Nunes et al. | Benchmarking static analysis tools for web security | |
| US9160762B2 (en) | Verifying application security vulnerabilities | |
| Papadakis et al. | Trivial compiler equivalence: A large scale empirical study of a simple, fast and effective equivalent mutant detection technique | |
| EP2891101B1 (en) | A system for analyzing applications in order to find security and quality issues | |
| US8516449B2 (en) | Detecting and localizing security vulnerabilities in client-server application | |
| US9043761B2 (en) | Fault localization using condition modeling and return value modeling | |
| US8943478B2 (en) | Fault detection and localization in dynamic software applications | |
| CN102012814B (zh) | 软件版本的构建方法和系统 | |
| US20110016456A1 (en) | Generating additional user inputs for fault detection and localization in dynamic software applications | |
| Fard et al. | JavaScript: The (un) covered parts | |
| AlOmar et al. | How do developers refactor code to improve code reusability? | |
| CN111813696A (zh) | 应用测试方法、装置、系统及电子设备 | |
| Nunes et al. | On combining diverse static analysis tools for web security: An empirical study | |
| Zaccarelli et al. | Stream2segment: An open‐source tool for downloading, processing, and visualizing massive event‐based seismic waveform datasets | |
| Hassan et al. | As code testing: Characterizing test quality in open source ansible development | |
| CN113158197A (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| Marchetto et al. | Crawlability metrics for automated web testing | |
| Brito et al. | Study of javascript static analysis tools for vulnerability detection in node. js packages | |
| Johns et al. | Scanstud: a methodology for systematic, fine-grained evaluation of static analysis tools | |
| Sultana et al. | A study examining relationships between micro patterns and security vulnerabilities | |
| Nguyen et al. | Exploring output-based coverage for testing PHP web applications | |
| Nashaat et al. | Detecting security vulnerabilities in object-oriented php programs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161116 |
|
| RJ01 | Rejection of invention patent application after publication |